A P R O P O S A L F O R A S E C U R E D , E F F I C I E N T A N D S C A L A B L E L A Y E R 2 N E T W O R K V I R T U A L I S A T I O N M E C H A N I S M
jon matias fraile
Supervisor: Eduardo Jacob Taquet Department of Communications Engineering
Faculty of Engineering
University of the Basque Country (UPV/EHU)
A B S T R A C T
The Internet has become the essential medium for information and for communication of both social and business interactions. However, several limitations of the current Internet have been identified to meet the expectations generated by its resounding success. In this context, the Future Internet initiative has emerged as a research effort to overcome these shortcomings.
To solve the limitations of the Internet (some of them due to its original design), it is necessary to research on novel network architectures and proposals, either evolutionary or clean-slate approaches. Moreover, the experimental facilities emerge to provide a realistic environment to validate these new approaches at large-scale conditions, and become the fundamental artefact for robust experimentation and testing of these proposals. As a design principle, the experimental facility must be orthogonal to the experimentation and its impact must be reduced to the minimum. Due to the need of sharing the same infrastructure and resources to test different networking proposals at the same time, the network virtualisation is key for success.
There is no unique definition of network virtualisation, since it depends on the target scenario, which could impose specific requirements due to its particularities. To properly analyse and compare the different approaches to network virtualisation a new taxonomy is proposed. Based on this taxonomy, a survey of different network virtualisation proposals is presented. As a result, three main types of virtualization have been identified and grouped in two categories: node centric and network centric approaches. In the former, the nodes are exposed as individual elements to the tenants (researchers in this case); whereas in the latter, the underlying network infrastructure is abstracted as a whole. With regard to the node centric approaches, two types of network virtualisation are proposed: Virtual Node (vNode) and SDN-enabled Virtualisation (SDNeV). On the one hand, the vNode solutions expose virtual network devices with an associated functionality implemented on them. On the other hand, the SDNeV proposals expose the programmability
of individual (either physical or virtual) network devices. Concerning the network centric approaches, just a single type of network virtualisation is proposed: overlay. The overlay solutions are built on the edge devices, which encapsulate the external addressing scheme into the addressing space used internally by the physical infrastructure.
The open innovation in networking demands the pro-grammability of the networking resources to be exposed to the researchers. As a consequence, the Software Defined Networking (SDN) technology becomes the essential enabler of network innovation by means of the separation of data and control planes through a standard interface, and thus, the SDNeV type of network virtualisation is the most appropriate to build the experimental facilities.
Additionally, the most relevant experimental facilities are presented, with a special focus on how each of them enables the research on networking. The survey is divided in two groups: pre-SDN approaches based on legacy technology and SDN-enabled facilities. The latter is the relevant group due to the type of network virtualisation selected.
Based on the previous analyses and the research activities to be conducted on the experimental facility, a list of requirements is defined: the isolation between experiments (including the secured isolation between them), the flexibility to experiment on novel architectures and clean slate approaches, the scalability of the facility, the stability of the experiment slice definition, the transparency of the facility with regard to the experiments (including the efficiency, avoiding any overhead), and the support for research on networking. The available experimental facilities supported by the currently proposed network virtualisation approaches do not meet all these requirements. Therefore, a new experimental facility orthogonal to the experimentation is needed, as well as a new network virtualisation proposal that transparently supports the research on novel network architectures and approaches.
One of the responsibilities of any experimental facility is to deploy new services and resources to enable the experimentation. In this regard, the ongoing work on Network Functions Virtualisation (NFV) is relevant to this goal. NFV has been proposed to innovate in the service delivery arena by using
standard computing virtualisation technology to consolidate in commodity hardware the functions previously performed by specific hardware appliances.
The main contributions of this thesis are also the key building blocks for the experimental facility: Layer 2 Prefix-based Network Virtualisation (L2PNV), MAC Address Configuration Protocol (MACP), and Flow-based Network Access Control (FlowNAC).
L2PNV is an efficient and scalable network virtualisation mechanism that relies on the MAC address prefixes to univocally identify the corresponding virtual network instances. This proposal is based on a novel MAC addressing scheme, which reserves part of the MAC address (a prefix) to encode the virtual instance identifier.
As a consequence of not using the globally administered MAC addresses, the end devices must update their MAC addresses to be compliant with the new addressing scheme. Therefore, a new mechanism, called MACP, is proposed to facilitate the assignment of MAC addresses. In addition, this proposal could be also used by other Layer 2 proposals based on alternative MAC addressing schemes, thus enabling the innovation in this research direction.
Furthermore, the overall security of both the experimental facility and the network virtualisation proposal is improved by adding a new mechanism, called FlowNAC, for fine-grained access control based on the identity of the users and the policy defined by the tenants (researchers in this case).
In relation to the aforementioned contributions, new design principles based on SDN-enabled architectures have been adopted to implement these proposals as Virtual Network Functions (VNFs). The goals of using SDN-enabled architectures for service delivery are to improve the performance of the VNFs and to facilitate the deployment of these new services (i.e., MACP and FlowNAC) over the experimental facility.
As a result (and an additional contribution), a new experimental facility is deployed at the University of the Basque Country (UPV/EHU), the EHU OpenFlow Enabled Facility (EHU-OEF), to experimentally validate these approaches. The main objective of EHU-OEF is to enable the innovation on networking architectures and proposals.
In this context, L2PNV has been experimentally validated and its fundamental mechanism for virtualising the network (the MAC prefix matching) has been evaluated. It has been also compared to other similar mechanisms, all of them with similar performance, which indicates that the proposed mechanism is technically feasible for production on currently available hardware and software solutions.
Moreover, the performance of MACP and FlowNAC, based on SDN-enabled architectures, have been also evaluated and demonstrate the usability of these solutions, with similar order of magnitude than other comparable proposals.
Each proposal can be used individually (i.e., as a network vir-tualization solution, as a mechanism to assign MAC addresses, or as a fine-grained access control solution, respectively) or in conjunction to build a virtualised platform for experimentation (as EHU-OEF) or for production (data center, campus and operator networks).
Additional experimentation has been also conducted in EHU-OEF with promising results, such as a novel forwarding mechanism based on MAC prefixes, called Prefix-based Forwarding Decision (PFD).
As a final remark, this work not only constitutes a valuable research to propose new network virtualization architectures leveraging new emerging technologies SDN and NFV, but it also assists the understanding of past, present and future evolution of these topics.
R E S U M E N
Internet se ha convertido en un medio fundamental como fuente de información y comunicación tanto para la interacción social como de negocios. Sin embargo, se han identificado varias limitaciones de la actual Internet a la hora de cumplir con las expectativas generadas debido a su rotundo éxito. En este contexto, la iniciativa de la Internet del Futuro ha emergido como un esfuerzo investigador para superar estas limitaciones.
Para solucionar las limitaciones de Internet (algunas son debidas a su diseño original), es necesario investigar en arquitecturas y propuestas novedosas, tanto aproximaciones evolutivas como totalmente rompedoras. Además, las platafor-mas de experimentación surgen para proporcionar un entorno realista para validar estas nuevas propuestas a gran escala, y convertirse en una herramienta fundamental para una robusta experimentación y testeo de dichas propuestas. Como principio de diseño, las plataformas experimentales deben de ser ortogonales a la experimentación y su impacto debe reducirse al mínimo. Debido a la necesidad de compartir la misma infraestructura y recursos para testear simultáneamente diversas propuestas de red, la virtualización de red es la clave del éxito.
No hay una definición única para la virtualización de red, ya que ésta depende del escenario objetivo, el cual puede imponer requerimientos específicos debido a sus particularidades. Para poder analizar y comparar adecuadamente las diferentes aproximaciones propuestas para la virtualización de red, se propone una taxonomía nueva. Basado en esta taxonomía, se presenta un estudio de las diversas propuestas realizadas para la virtualización de red. Como resultado de dicho estudio, se han identificado tres tipos principales de virtualización, los cuales se agrupan en dos grandes grupos: las propuestas centradas en el nodo, y las centradas en la red. En el primer grupo los nodos son expuestos como elementos individuales a los operadores virtuales (que en este caso son los investigadores), mientras que en el segundo grupo la infraestructura de red subyacente se abstrae como un todo. Con respecto a
las aproximaciones centradas en el nodo, se proponen dos tipos de virtualización de red: el Nodo Virtual (vNode) y la Virtualización posibilitada por SDN (SDNeV). Por una parte, las soluciones de tipo vNode exponen los dispositivos de red virtualizados con una funcionalidad asociada implementada sobre el propio dispositivo. Por otro lado, las propuestas de tipo SDNeV exponen la programabilidad de los dispositivos de red individuales (tanto físicos como virtuales). Con respecto a las aproximaciones centradas en la red, únicamente se propone un tipo de virtualización de red: el overlay. Las soluciones de overlay se construyen sobre los dispositivos de frontera, los cuales encapsulan el esquema de direccionamiento externo en el espacio de direccionamiento usado internamente por la infraestructura física.
La innovación abierta en la red demanda que la progamabil-idad de los recursos de red se exponga a los investigadores. Como consecuencia, la tecnología de Redes Definidas por Software (Software Defined Networks, SDN) se convierte en un facilitador esencial para la innovación en la red mediante la separación de los planos de datos y control a través de un interfaz estándar, y por lo tanto, el tipo de virtualización de red SDNeV es el más apropiado para construir las plataformas experimentales.
Además, se presentan las plataformas experimentales más relevantes, con un foco especial en la forma en la que cada una de ellas permite la investigación en propuestas de red. Este estudio se divide en dos grandes grupos: las propuestas previas a SDN basadas en tecnología tradicional y las plataformas experimentales activadas por SDN. El segundo grupo es el más relevante para el tipo de virtualización de red seleccionado.
Apoyado en los análisis previos y en las actividades de investigación a desarrollar sobre la plataforma de experi-mentación, se define una lista de requisitos: el aislamiento entre los experimentos (incluyendo el aislamiento seguro entre los mismos), la flexibilidad para experimentar en arquitecturas novedosas y aproximaciones rompedoras, la escalabilidad de la plataforma, la estabilidad de la definición de la capa de experimentación, la transparencia de la plataforma con respecto a los experimentos (incluyendo la eficiencia de la solución evitando cualquier sobrecarga), y el soporte para la investigación
en propuestas de red. Las plataformas de experimentación disponibles basadas en las propuestas de virtualización de red actuales no cumplen todos estos requisitos. Por lo tanto, una nueva plataforma de experimentación ortogonal a la experimentación es necesaria, así como una propuesta de virtualización de red que, de forma transparente, soporte la investigación en arquitecturas de red y propuestas novedosas.
Una de las responsabilidades de cualquier plataforma de experimentación es desplegar nuevos servicios y recursos para permitir la experimentación. En este respecto, el trabajo que se está realizando en relación a la Virtualización de Funciones de Red (Network Function Virtualisation, NFV) es relevante para este objetivo. NFV ha sido propuesto para innovar en el área de provisión de servicios, mediante el uso de tecnología estándar de virtualización de computación para consolidar en hardware estándar las funciones de red previamente desplegadas sobre aplicaciones hardware específicas.
Las principales contribuciones de esta tesis son también los el-ementos clave para construir la plataforma de experimentación: la Virtualización de Red basada en Prefijos de Nivel 2 (Layer 2 Prefix-based Network Virtualisation, L2PNV), un Protocolo para la Configuración de Direcciones MAC (MAC Address Configuration Protocol, MACP), y un sistema de Control de Acceso a Red basado en Flujos (Flow-based Network Access Control, FlowNAC).
L2PNV es un mecanismo de virtualización de red eficiente y escalable que delega en los prefijos de dirección MAC la identificación unívoca de las instancias de red virtual correspondientes. Esta propuesta está basada en un esquema de direccionamiento MAC novedoso, el cual reserva parte de la dirección MAC (un prefijo) para la codificación del identificador de la instancia virtual.
Como consecuencia de no usar las direcciones MAC globalmente administradas, los dispositivos finales tienen que actualizar sus direcciones MAC para ser compatibles con el nuevo esquema de direccionamiento. Por lo tanto, se propone un nuevo mecanismo, llamado MACP, para facilitar la asignación de direcciones MAC. Además, este mecanismo puede también ser usado por otras propuestas de Nivel 2 basadas en esquemas
de direccionamiento MAC alternativos, permitiendo de esta forma la innovación en esta línea de investigación.
Por último, la seguridad global tanto de la plataforma de experimentación como de la propuesta para la virtualización de red se mejora añadiendo un nuevo mecanismo, llamado FlowNAC, para controlar de forma granular el acceso basándose en la identidad del usuario y en la política definida por el operador de la red virtual (el investigador en este caso).
En relación con las contribuciones anteriormente citadas, se adoptan unos nuevos principios de diseño basados en arquitecturas posibilitadas por SDN para la implementación de dichas propuestas como Funciones de Red Virtualizadas (Virtual Network Functions, VNFs). Los objetivos de usar estas arquitecturas posibilitadas por SDN para la entrega de servicios son la mejora del rendimiento de las VNFs y facilitar el despliegue de estos nuevos servicios (MACP y FlowNAC) sobre la plataforma de experimentación.
Como resultado (y una contribución adicional), se ha desplegado en la Universidad del Pais Vasco (UPV/EHU) una nueva plataforma experimental, la Plataforma Activada por OpenFlow de EHU (EHU OpenFlow Enabled Facility, EHU-OEF), para experimentar y validar estas propuestas. El principal objetivo de EHU-OEF es permitir la innovación en arquitecturas y propuestas de red.
En este contexto, L2PNV se ha validado de forma experi-mental y su principal mecanismo para virtualizar la red (la asociación de prefijos MAC) ha sido evaluado. Este mecanismo se ha comparado con otros mecanismos similares, todos ellos con un rendimiento similar, lo que indica que el mecanismo propuesto es técnicamente viable para su puesta en producción con las soluciones hardware y software disponibles actualmente. Además, el rendimiento de MACP y FlowNAC, basados en arquitecturas posibilitadas por SDN, ha sido evaluado y demuestra la usabilidad de las soluciones, con un orden de magnitud parecido a otras propuestas similares.
Cada propuesta puede ser usada de forma individual (como solución para la virtualización de red, como mecanismo para la asignación de direcciones MAC, o como una solución para el control de acceso granular, respectivamente) o en conjunto para construir una plataforma virtualizada para la experimentación
(como EHU-OEF) o para producción (en redes de centro de datos, de campus o de operador).
De forma adicional, se han llevado acabo labores de experimentación en EHU-OEF con resultados prometedores, como es el caso de un novedoso mecanismo para la conmutación de tramas basado en prefijos MAC, llamado Decisión de Conmutación basado en Prefijos (Prefix-based Forwarding Decision, PFD).
Como apunte final, este trabajo no solo constituye una inves-tigación destacable con la propuesta de nuevas arquitecturas para la virtualización de red que se sustentan sobre tecnologías emergentes como SDN y NFV, sino que además permite un mejor entendimiento del pasado, presente y evolución futura de estas líneas de investigación.
L A B U R P E N A
Internet, informaziorako eta komunikaziorako baliabiderik gar-rantzitsuena bilakatu da, bai elkarrekintza sozialetarako, baita negozioetarako ere. Hala ere, gaur egungo Interneten arrakasta handiak eragindako beharrizanak asetzerakoan, zenbait muga identifikatu dira. Testuinguru horretan, Etorkizuneko Interneta edo Future Internet delako ekimena sortu da, muga horiek gainditu ahal izateko.
Esandako Internetaren muga horiek gainditzeko (zenbait bere jatorrizko diseinuaren ondorio direnak), beharrezkoa da sareen arkitektura eta proposamen berriak ikertzea, gutxikako eboluzio bezala planteatutakoak zein guztiz berritzaileak lirate-keenak ere. Horrela, proposamen berri horiek eskala-handian balioztatzeko ingurune errealista modura, esperimentaziorako plataformak sortu dira, sareen esperimentuak egiteko eta tester-ako baliabiderik garrantzitsuenak bilakatu direnak. Diseinurtester-ako printzipio bezala, esperimentaziorako plataforma batek zera jarraitu behar du, esperimentazioarekiko ortogonala izatea eta bere eragina ahalik eta txikiena izatea. Hortaz, sareetarako proposamen ezberdinak azpiegitura eta baliabide berdinetan aldi berean probatu ahal izateko, sare horien birtualizazioa egin ahal izatea funtsezkoa da.
Ez dago sare-birtualizaziorako definizio bateraturik, er-abilpen egoeraren araberakoa delako; egoera bakoitzak be-harrizan zehatzak izan ditzake, bere ezaugarrien araberakoak. Sare-birtualizaziorako proposamenen azterketa eta alderatzea egokiro egin ahal izateko, taxonomia berri bat aurkezten dugu hemen. Taxonomia horretan oinarrituta, sare-birtualizaziorako proposamenen ikerketa bat azaltzen da ere. Ondorioz, hiru birtualizazio modu nagusi identifikatu dira, bi kategoriatan taldekatuak: nodoetan oinarrituak eta sareetan oinarrituak. Lehenengo birtualizazio moduan, sareko nodoak banakako elementu bezala aurkezten zaizkie operadore birtualei (kasu honetan, ikertzaileei); aldiz, bigarrenean, azpiegiturako sarea guztiz ezkutatzen da. Nodoetan oinarritutako birtualizazioetan, bi modu proposatu dira: Virtual Node (vNode) modua eta
SDN-enabled Virtualiation (SDNeV) deiturikoa. Alde batetik, vNode modukoetan sareko gailu birtualak adierazten dira, bakoitzak funtzionaltasun bat inplementatua duena beregan. Aldiz, SDNeV proposamenetan, sareko gailuen (fisikoen zein birtualen) programagarritasuna ahalbidetzen da. Sareetan oinarritutako birtualizazioetan, sare-birtualizazio modu bakarra proposatu da: overlay deiturikoa. Overlay moduko proposamenek ertzeko gailuak bezala ezagutzen direnak erabiltzen dituzte, kanpoko helbideratze eskemak azpiegitura fisikoan erabiltzen diren barne-helbideetan kaptsulatzen dituztenak.
Sareen berrikuntzak, ikertzaileei eskainitako baliabideen programagarritasuna ahalbidetzea eskatzen du. Ondorioz, Soft-ware Defined Networking edo SDN teknologia nahitaezkoa bilakatzen da sareen berrikuntzan datuen eta kontrolaren planoak interfaze estandarrarekin banandu ahal izateko, eta horregatik, SDNeV moduko sare-birtualizazioa da egokiena esperimentaziorako plataformak eraikitzeko.
Gainera, dokumentu honetan gaur egungo esperimentazio-rako plataformarik garrantzitsuenak aurkezten dira, bakoitzak sareekiko ikerkuntza nola ahalbidetzen duen zehaztuz. Hortaz, ikerketa bi ataletan banatua dago: SDN-aurreko proposamenak (aurreko teknologietan oinarrituak) eta SDN duten platafor-mak. Azkena da talderik garrantzitsuena, aukeratutako sare-birtualizaziorako moduaren arabera.
Aurreko azterketetan eta esperimentaziorako plataformetan egin beharreko ikerkuntza-ekintzetan oinarrituta, zenbait be-harrizan definitzen dira: esperimentuen arteko isolamendua (isolamendu segurua barnean hartzen duena), arkitektura berri-etan eta proposamen guztiz berritzaileberri-etan ikertzeko malguta-suna, plataformaren eskalagarritamalguta-suna, esperimentu bakoitzari dagokion slice edo geruzaren egonkortasuna, plataformaren es-perimentuekiko gardentasuna (eraginkortasuna barne, gainkar-gak ekidinez), eta sareen ikerkuntzarako laguntza. Gaur egungo sare-birtualizaziorako proposamenetan oinarritutako plataforma erabilgarriek, ez dituzte aipatutako beharrizan guz-tiak betetzen. Hortaz, esperimentaziorako plataforma ortogonal berri bat behar da, eta aldi berean, sare-birtualizaziorako proposamen berri bat, sareen arkitektura eta proposamen berrien ikerkuntza modu gardenean ahalbidetzen duena.
Edozein esperimentaziorako plataformak bete beharreko ezaugarri bat, baliabide eta zerbitzu berriak hedatu ahal izatea da, esperimentazioa ahalbidetzeko. Zentzu horretan, Network Functions Virtualisation edo NFV delakoaren inguruko lanak oso garrantzitsuak dira. NFV, zerbitzuen hornitzea egiteko modua berritzeko proposatua izan da; konputazioaren birtualizaziorako teknologia estandarraren bidez, helburu oroko-rreko hardwaretan lehen neurrira egindako produktuetan inplementatzen ziren funtzioak gauzatzen ditu.
Tesi honen ekarpenik garrantzitsuenak esperimentaziorako plataformak eratzeko oinarrizko zatiak dira: Layer 2 Prefix-based Network Virtualisation (L2PNV) delakoa, MAC Address Configuration Protocol (MACP) eta Flow-based Network Access Control (FlowNAC).
L2PNV sare-birtualizaziorako mekanismo eraginkor eta eskalagarri bat da, MAC helbideen aurrizkietan oinarritzen dena sareko instantzia birtualak identifikatu ahal izateko. Proposamen honetan MAC helbideratze eskema berri bat ere aurkezten da, MAC helbidearen zati bat (aurrizki bat) erabiltzen duena instantzia birtualen identifikatzaile modura.
MAC helbide globalak ez erabiltzearen ondorio bezala, amaierako gailuek MAC helbide propioak eguneratu behar dituzte helbideratze eskema berriarekiko bateragarriak izan daitezen. Horretarako, beraz, mekanismo berri bat proposatzen da, MACP deiturikoa, MAC helbideak egokitzeko. Gainera, pro-posamen hau beste MAC helbideratze eskema alternatiboetan oinarritutako Layer 2 edo 2. mailako proposamenetan erabili ahalko litzateke, arlo horretan ikerkuntza berria baliatuz.
Are gehiago, esperimentaziorako plataformaren zein
sare-birtualizazioaren segurtasun
orokorra ere hobetzen da, mekanismo berri bati esker, FlowNAC deiturikoa; zehaztasun handiko sarbide-kontrola egiten du horrek, erabiltzaileen identitatean eta operadore birtualen (ikertzaileen) politiketan oinarrituta.
Aurretik esandako ekarpenekin lotuta, SDN darabilten arkitekturetan oinarritutako diseinu printzipio berriak erabili dira proposamen berriak gauzatzeko, Virtual Network Func-tions (VNFs) direlakoen bitartez. SDN darabilten arkitektura horiek zerbitzuak hornitzeko erabiltzearen helburua zera da, VNFen eraginkortasuna hobetzea eta zerbitzu berrien (hots,
MACP eta FlowNAC zerbitzuen) hornikuntza eta hedapena ahalbidetzea esperimentaziorako plataforman.
Ondorioz (eta tesiaren ekarpen gehigarri bezala), Eu-skal Herriko Unibertsitatean (UPV/EHUn) esperimentaziorako plataforma berria hedatu da, EHU OpenFlow Enabled Facility (EHU-OEF) deiturikoa, proposamen guztiak balioztatu ahal iza-teko. EHU-OEFren helburu nagusia da sareetarako arkitekturen eta proposamenen berrikuntza ahalbidetzea.
Testuinguru horretan, L2PNV esperimentuekin balioztatua izan da eta sare-birtualizaziorako mekanismo nagusia (MAC helbideen alderatzea) ebaluatua izan da. Antzeko beste mekanis-moekin ere alderatu izan da, neurriko eraginkortasuna dutenak; horrek adierazten duena zera da, mekanismoa teknikoki erabil-garria dela produkzio inguruneetan gaur egungo hardware eta software elementuekin.
Bestalde, MACP eta FlowNACen eraginkortasuna ebaluatua izan da SDN darabilten arkitekturetan, eta hortaz, ebazpen horien erabilgarritasuna demostratua izan da, alderagarriak diren beste proposamenen antzeko emaitzekin.
Proposamen bakoitza bakarka
erabili daiteke (sare-birtualizaziorako proposamen bezala, MAC helbideen egokitze-mekanismo modura edo zehaztasun hand-iko sarbide-kontrolerako, hurrenez hurren) edo guztiak batera, esperimentaziorako plataforma birtualak sortzeko (EHU-OEF bezala) edo produkzio inguruneetan (datacenter, campus edo hornitzaileen sareetan).
EHU-OEF plataforman esperimentazio gehiago ere egin da, emaitza esanguratsuekin: zehazki, MAC aurrizkietan oinarritu-tako bidalketa-mekanismo berri bat, Prefix-based Forwarding Decision (PFD) deiturikoa.
Amaitzeko, lan hau ez da soilik sare-birtualizaziorako arkitektura berriak proposatzen dituen ikerketa baliotsu bat, SDN eta NFV teknologia berriak darabiltzana; aldiz, landutako ikerkuntza lerroen aurreko, egungo eta etorkizuneko egoerak ulertzeko tresna lagungarria da.
R E S U M E N E X T E N D I D O
1) contextualización
Internet se ha convertido en un medio fundamental como fuente de información y comunicación tanto para la interacción social como de negocios. Sin embargo, se han identificado varias limitaciones de la actual Internet a la hora de cumplir con las expectativas generadas debido a su rotundo éxito. En este contexto, la iniciativa de la Internet del Futuro ha emergido como un esfuerzo investigador para superar estas limitaciones.
Para solucionar las limitaciones de Internet (algunas son debidas a su diseño original), es necesario investigar en arquitecturas y propuestas novedosas, tanto aproximaciones evolutivas como totalmente rompedoras. Además, las platafor-mas de experimentación surgen para proporcionar un entorno realista para validar estas nuevas propuestas a gran escala, y convertirse en una herramienta fundamental para una robusta experimentación y testeo de dichas propuestas. Como principio de diseño, las plataformas experimentales deben de ser ortogonales a la experimentación y su impacto debe reducirse al mínimo. Debido a la necesidad de compartir la misma infraestructura y recursos para testear simultáneamente diversas propuestas de red, la virtualización de red es la clave del éxito. 2) objetivos de la investigación
El principal objeto de la investigación desarrollada en esta tesis es doble: por una parte, la investigación en nuevas arquitecturas y propuestas de red, y por otro lado, facilitar la posibilidad de investigar en dichas propuestas y arquitecturas rompedoras. A continuación se detallan los objetivos concretos que se van a cubrir:
• Despliegue de una plataforma experimental en el campus de la Universidad del Pais Vasco (UPV/EHU).
• Definición de una taxonomía para facilitar la comprensión y comparativa del estado de arte actual de las diferentes propuestas para la virtualización de red.
• Diseño e implementación de una nueva propuesta para la virtualización de red que cubra los requisitos planteados.
• Diseño e implementación de un mecanismo que facilite la asignación de nuevos esquemas de direccionamiento MAC.
• Diseño e implementación de un mecanismo seguro para el control de acceso a la plataforma de experimentación basado en la identidad de los usuarios y en la política definida por los investigadores.
• Definición de los principios básicos para el diseño óptimo de nuevos servicios y protocolos como funciones de red virtualizadas.
3) análisis del estado del arte
No hay una definición única para la virtualización de red, ya que ésta depende del escenario objetivo, el cual puede imponer requerimientos específicos debido a sus particularidades. La Figura 1 demuestra la arquitectura definida.
Figura 1: Arquitectura definida para la Virtualización de Red Para poder analizar y comparar adecuadamente las diferentes aproximaciones propuestas para la virtualización de red, se
propone una taxonomía nueva. Basado en esta taxonomía, se presenta un estudio de las diversas propuestas realizadas para la virtualización de red.
Como resultado de dicho estudio, se han identificado tres tipos principales de virtualización, los cuales se agrupan en dos grandes grupos: las propuestas centradas en el nodo, y las centradas en la red. En el primer grupo los nodos son expuestos como elementos individuales a los operadores virtuales (que en este caso son los investigadores), mientras que en el segundo grupo la infraestructura de red subyacente se abstrae como un todo. Con respecto a las aproximaciones centradas en el nodo, se proponen dos tipos de virtualización de red: el Nodo Virtual (vNode) y la Virtualización posibilitada por SDN (SDNeV). Por una parte, las soluciones de tipo vNode exponen los dispositivos de red virtualizados con una funcionalidad asociada implementada sobre el propio dispositivo. Por otro lado, las propuestas de tipo SDNeV exponen la programabilidad de los dispositivos de red individuales (tanto físicos como virtuales). Con respecto a las aproximaciones centradas en la red, únicamente se propone un tipo de virtualización de red: el overlay. Las soluciones de overlay se construyen sobre los dispositivos de frontera, los cuales encapsulan el esquema de direccionamiento externo en el espacio de direccionamiento usado internamente por la infraestructura física.
La innovación abierta en la red demanda que la progamabil-idad de los recursos de red se exponga a los investigadores. Como consecuencia, la tecnología de Redes Definidas por Software (Software Defined Networks, SDN) se convierte en un facilitador esencial para la innovación en la red mediante la separación de los planos de datos y control a través de un interfaz estándar, y por lo tanto, el tipo de virtualización de red SDNeV es el más apropiado para construir las plataformas experimentales.
Además, se presentan las plataformas experimentales más relevantes, con un foco especial en la forma en la que cada una de ellas permite la investigación en propuestas de red. Este estudio se divide en dos grandes grupos: las propuestas previas a SDN basadas en tecnología tradicional y las plataformas experimentales activadas por SDN. El segundo grupo es el más relevante para el tipo de virtualización de red seleccionado.
Apoyado en los análisis previos y en las actividades de investigación a desarrollar sobre la plataforma de experi-mentación, se define una lista de requisitos: el aislamiento entre los experimentos (incluyendo el aislamiento seguro entre los mismos), la flexibilidad para experimentar en arquitecturas novedosas y aproximaciones rompedoras, la escalabilidad de la plataforma, la estabilidad de la definición de la capa de experimentación, la transparencia de la plataforma con respecto a los experimentos (incluyendo la eficiencia de la solución evitando cualquier sobrecarga), y el soporte para la investigación en propuestas de red. Las plataformas de experimentación disponibles basadas en las propuestas de virtualización de red actuales no cumplen todos estos requisitos. Por lo tanto, una nueva plataforma de experimentación ortogonal a la experimentación es necesaria, así como una propuesta de virtualización de red que, de forma transparente, soporte la investigación en arquitecturas de red y propuestas novedosas.
Una de las responsabilidades de cualquier plataforma de experimentación es desplegar nuevos servicios y recursos para permitir la experimentación. En este respecto, el trabajo que se está realizando en relación a la Virtualización de Funciones de Red (Network Function Virtualisation, NFV) es relevante para este objetivo. NFV ha sido propuesto para innovar en el área de provisión de servicios, mediante el uso de tecnología estándar de virtualización de computación para consolidar en hardware estándar las funciones de red previamente desplegadas sobre aplicaciones hardware específicas.
4) contribuciones
Las principales contribuciones de esta tesis son también los el-ementos clave para construir la plataforma de experimentación: la Virtualización de Red basada en Prefijos de Nivel 2 (Layer 2 Prefix-based Network Virtualisation, L2PNV), un Protocolo para la Configuración de Direcciones MAC (MAC Address Configuration Protocol, MACP), y un sistema de Control de Acceso a Red basado en Flujos (Flow-based Network Access Control, FlowNAC).
L2PNV es un mecanismo de virtualización de red eficiente y escalable que delega en los prefijos de dirección MAC
la identificación unívoca de las instancias de red virtual correspondientes (Figura 2).
Figura 2: Redes Virtuales definidas por L2PNV
Esta propuesta está basada en un esquema de direc-cionamiento MAC novedoso, el cual reserva parte de la dirección MAC (un prefijo) para la codificación del identificador de la instancia virtual (Figura 3).
Figura 3: Definición de instancia virtual en L2PNV
Como consecuencia de no usar las direcciones MAC globalmente administradas, los dispositivos finales tienen que actualizar sus direcciones MAC para ser compatibles con el nuevo esquema de direccionamiento, tal y como se muestra en la Figura 4. Por lo tanto, se propone un nuevo mecanismo, llamado MACP, para facilitar la asignación de direcciones MAC.
Además, este mecanismo puede también ser usado por otras propuestas de Nivel 2 basadas en esquemas de direccionamiento MAC alternativos, permitiendo de esta forma la innovación en esta línea de investigación.
Figura 4: Proceso de asignación de direcciones MAC a través de MACP
Por último, la seguridad global tanto de la plataforma de experimentación como de la propuesta para la virtualización de red se mejora añadiendo un nuevo mecanismo, llamado FlowNAC, para controlar de forma granular el acceso basándose en la identidad del usuario y en la política definida por el operador de la red virtual (el investigador en este caso). El proceso completo se muestra en la Figura 5.
Figura 5: Proceso de autenticación y autorización definido por FlowNAC
En relación con las contribuciones anteriormente citadas, se adoptan unos nuevos principios de diseño basados en arquitecturas posibilitadas por SDN para la implementación de dichas propuestas como Funciones de Red Virtualizadas
(Virtual Network Functions, VNFs). Los objetivos de usar estas arquitecturas posibilitadas por SDN para la entrega de servicios son la mejora del rendimiento de las VNFs y facilitar el despliegue de estos nuevos servicios (MACP y FlowNAC) sobre la plataforma de experimentación.
5) validación
Como resultado (y una contribución adicional), se ha desple-gado en la Universidad del Pais Vasco (UPV/EHU) una nueva plataforma experimental (Figura 6), la Plataforma Activada por OpenFlow de EHU (EHU OpenFlow Enabled Facility, EHU-OEF), para experimentar y validar estas propuestas. El principal objetivo de EHU-OEF es permitir la innovación en arquitecturas y propuestas de red.
Figura 6: Plataforma experimental EHU-OEF
En este contexto, L2PNV se ha validado de forma experi-mental y su principal mecanismo para virtualizar la red (la asociación de prefijos MAC) ha sido evaluado. Este mecanismo se ha comparado con otros mecanismos similares, todos ellos con un rendimiento similar, lo que indica que el mecanismo propuesto es técnicamente viable para su puesta en producción con las soluciones hardware y software disponibles actualmente.
Además, el rendimiento de MACP y FlowNAC, basados en arquitecturas posibilitadas por SDN, ha sido evaluado y demuestra la usabilidad de las soluciones, con un orden de magnitud parecido a otras propuestas similares.
Cada propuesta puede ser usada de forma individual (como solución para la virtualización de red, como mecanismo para la asignación de direcciones MAC, o como una solución para el control de acceso granular, respectivamente) o en conjunto para construir una plataforma virtualizada para la experimentación (como EHU-OEF) o para producción (en redes de centro de datos, de campus o de operador).
De forma adicional, se han llevado acabo labores de experimentación en EHU-OEF con resultados prometedores, como es el caso de un novedoso mecanismo para la conmutación de tramas basado en prefijos MAC, llamado Decisión de Conmutación basado en Prefijos (Prefix-based Forwarding Decision, PFD).
6) conclusiones
Este apartado detalla la lista completa de contribuciones aportadas por esta tesis. De forma adicional a las tres contribuciones anteriormente detalladas, hay otra serie de contribuciones que caben destacar.
• La plataforma experimental EHU-OEF desplegada en la Universidad del País Vasco (UPV/EHU).
• Una nueva taxonomía para la virtualización de red.
• La propuesta L2PNV para virtualización de red.
• La propuesta MACP para la asignación y configuración de direcciones MAC.
• La propuesta PFD para la conmutación de tramas basadas en prefijos MAC.
• La propuesta FlowNAC para el control de acceso granular a la red basada en flujos.
• Una arquitectura para soluciones NFV apoyada en la tecnología SDN.
Los resultados de la presente investigación han sido publicados en 17 artículos (12 como primer autor), de los cuales tres son en revistas con JCR y el resto en conferencias internacionales. Además, se han publicado los resultados en 8 conferencias naciones. Como resultados de la implementación, se han presentado también 4 demostradores en conferencias internaciones. Finalmente, el trabajo presentado ha sido pieza fundamental en el contexto de dos proyectos europeos (FP7) y 6 proyectos de ámbito nacional.
Como apunte final, este trabajo no solo constituye una inves-tigación destacable con la propuesta de nuevas arquitecturas para la virtualización de red que se sustentan sobre tecnologías emergentes como SDN y NFV, sino que además permite un mejor entendimiento del pasado, presente y evolución futura de estas líneas de investigación.
C O N T E N T S
1 introduction 1 1.1 Contextualisation . . . 1 1.2 Motivation . . . 6 1.3 Research Objectives . . . 8 1.4 Document Organisation . . . 112 state of the art 13
2.1 Network Virtualisation . . . 18
2.1.1 Network Device Architecture . . . 18
2.1.2 Network Virtualisation Architecture . . . 21
2.1.3 Network Virtualisation Definition . . . 26
2.2 Network Virtualisation Taxonomy . . . 28
2.2.1 Network Virtualisation Type . . . 28
2.2.2 Virtual Instance Namespace . . . 32
2.2.3 Data plane Adaptation Mechanism . . . 34
2.2.4 VIAP Classification . . . 37
2.2.5 Network Topology . . . 39
2.2.6 Virtual Instance Creation Point . . . 42
2.2.7 Isolation level . . . 44
2.3 Network Virtualisation Survey . . . 48
2.3.1 vNode approaches . . . 48
2.3.2 Overlay approaches . . . 62
2.3.3 SDNeV approaches . . . 88
2.3.4 Conclusions from NV survey . . . .108
2.4 Experimental Facilities Survey . . . .111
2.4.1 Non-SDN facilities . . . .112
2.4.2 SDN enabled facilities . . . .114
2.5 Conclusions . . . .123
2.5.1 Requirements . . . .123
3 contributions 129
3.1 Layer 2 Prefix-based Network Virtualisation (L2PNV) . . . .129
3.1.1 Requirements . . . .131
3.1.2 L2PNV taxonomy . . . .131
3.1.3 Virtual network instance isolation based on MAC prefixes . . . .143
3.1.4 Virtual network instance implementation details . . . .151
3.1.5 Conclusion . . . .157
3.2 MAC Address Configuration Protocol (MACP) . . .162
3.2.1 Layer 2 Addressing Challenges . . . .164
3.2.2 Related Work . . . .167
3.2.3 MACP Architecture . . . .171
3.2.4 Conclusion . . . .180
3.3 Flow-based Network Access Control (FlowNAC) .181
3.3.1 Contextualisation of Network Access Con-trol systems . . . .182
3.3.2 Related Work . . . .183
3.3.3 FlowNAC Architecture . . . .187
3.3.4 Conclusion . . . .196
3.4 Summary of the proposed solutions and conclusion197
4 validation 199
4.1 The EHU OpenFlow Enabled Facility (EHU-OEF) .200
4.1.1 Experimental Facility Architecture . . . .201
4.1.2 The EHU-OEF Experimental Facility . . . . .207
4.1.3 Using EHU-OEF for experimentation . . . .217
4.2 Analytical Validation . . . .232
4.2.1 L2PNV Isolation Enforcing process . . . . .232
4.2.2 L2PNV Slice Definition for Legacy Proto-cols Support . . . .235
4.3 Experimental Studies . . . .237
4.3.1 MAC Prefix Matching Performance Numbers238
4.3.2 MACP Performance Numbers . . . .245
4.3.3 FlowNAC Performance Numbers . . . .249
4.4 Conclusions . . . .253 5 conclusions 257 5.1 Summary . . . .257 5.2 Contributions . . . .259 5.3 Dissemination of results . . . .264 5.4 Future Work . . . .270 bibliography 275
L I S T O F F I G U R E S
Figure 2.1 The SDN layer architecture defined by RFC 7426 . . . 20
Figure 2.2 The general architecture for the cloud IaaS 22
Figure 2.3 The two-layered model for NV architecture 23
Figure 2.4 The alternatives for data plane adaptation mechanism . . . 34
Figure 2.5 The flexibility at slice definition vs. the flexibility at experiment level . . . .125
Figure 3.1 MAC header and Global/Local address bit 136
Figure 3.2 Slice definition based on MAC prefix as the VI namespace . . . .143
Figure 3.3 MAC address prefix (24 bit) and relevant bits (I/G) and (U/L) . . . .144
Figure 3.4 The complete MAC address space in relation to the relevant bits (I/G) and (U/L)145
Figure 3.5 The slice collision problem in detail . . . .145
Figure 3.6 Downwards isolation enforcing mecha-nism in FlowVisor . . . .152
Figure 3.7 Downwards isolation enforcing mecha-nism in L2PNV . . . .154
Figure 3.8 The decision schema implemented at FlowVisor . . . .157
Figure 3.9 The MACP operational model . . . .173
Figure 3.10 The MACP detailed architecture . . . .176
Figure 3.11 The MAC PDU in blue and the MACP PDU in green . . . .178
Figure 3.12 The FlowNAC architecture: PAE (stateful) and PAC (stateless) . . . .188
Figure 3.13 The FlowNAC Extensions . . . .190
Figure 3.14 The EAPoL in EAPoL encapsulation . . . .191
Figure 3.15 The FlowNAC architecture influenced by SDN . . . .195
Figure 4.1 The EHU-OEF three-layered model . . . . .203
Figure 4.2 Physical resources in the EHU-OEF facil-ity deployment . . . .209
Figure 4.3 The EHU-OEF experimental facility . . . .210
Figure 4.4 Web Portal for EHU-OEF facility manage-ment . . . .211
Figure 4.5 Slices at the EHU-OEF . . . .215
Figure 4.6 Deploying strategies to support new protocols . . . .220
Figure 4.7 Automatic procedures to access the slices .221
Figure 4.8 The EHU-OEF slices and running experi-ments with an isolated control plane . . . .225
Figure 4.9 Authentication and authorisation procedure228
Figure 4.10 An example of a PFD deployment . . . . .230
Figure 4.11 a) Number of rules when the L2PNV approach is not used. b) Number of rules when the L2PNV approach is used . . . . .234
Figure 4.12 Growing of FlowSpaces in the unmodi-fied FlowVisor . . . .237
Figure 4.13 Growth of the FlowSpaces in the modified FlowVisor . . . .238
Figure 4.14 Open vSwitch (vanilla) Throughput Per-formance (Gbps) . . . .241
Figure 4.15 Open vSwitch (vanilla) Throughput Per-formance (Mpps) . . . .241
Figure 4.16 I/O Throughput Performance between Open vSwitch (with DPDK) and NEC switch (Gbps) . . . .242
Figure 4.17 I/O Throughput Performance between Open vSwitch (with DPDK) and NEC switch (Mpps) . . . .242
Figure 4.18 I/O Throughput Performance (zoom) between Open vSwitch (with DPDK) and NEC switch (Mpps) . . . .243
Figure 4.19 MAC Address Matching Throughput Per-formance between Open vSwitch (with DPDK) and NEC switch (Gbps) . . . .243
Figure 4.20 MAC Address Matching Throughput Per-formance between Open vSwitch (with DPDK) and NEC switch (Mpps) . . . .244
Figure 4.21 MAC Address Matching Throughput Per-formance (zoom) between Open vSwitch (with DPDK) and NEC switch (Mpps) . . .244
List of Figures xxxvii
Figure 4.22 MAC Prefix Matching Throughput Per-formance between Open vSwitch (with DPDK) and NEC switch (Gbps) . . . .245
Figure 4.23 MAC Prefix Matching Throughput Per-formance between Open vSwitch (with DPDK) and NEC switch (Mpps) . . . .245
Figure 4.24 MAC Prefix Matching Throughput Per-formance (zoom) between Open vSwitch (with DPDK) and NEC switch (Mpps) . . .246
Figure 4.25 Results from MACP performance study . .248
L I S T O F T A B L E S
Table 2.1 VLAN Bridging categorization based on NV Taxonomy . . . 50
Table 2.2 VRF categorization based on NV Taxonomy 54
Table 2.3 VINI categorization based on NV Taxonomy 57
Table 2.4 P-Flow categorization based on NV Tax-onomy . . . 60
Table 2.5 VPN categorization based on NV Taxonomy 68
Table 2.6 Data Center overlay categorization based on NV Taxonomy . . . 75
Table 2.7 VMware NSX categorization based on NV Taxonomy . . . 78
Table 2.8 NetLord categorization based on NV Taxonomy . . . 81
Table 2.9 Diverter categorization based on NV Taxonomy . . . 84
Table 2.10 PortLand categorization based on NV Taxonomy . . . 87
Table 2.11 FlowVisor categorization based on NV Taxonomy . . . 92
Table 2.12 VeRTIGO categorization based on NV Taxonomy . . . 96
Table 2.13 OpenVirteX categorization based on NV Taxonomy . . . .100
Table 2.14 FlowN categorization based on NV Tax-onomy . . . .104
Table 2.15 Switchlets categorization based on NV Taxonomy . . . .107
Table 2.16 Comparison of NV Survey based on the proposed NV taxonomy . . . .109
Table 3.1 Fulfilment of requirements by the L2PNV proposal . . . .159
Table 3.2 Comparison of L2PNV to other SDNeV approaches based on the proposed NV taxonomy . . . .160
List of Tables xxxix
A C R O N Y M S
ACL Access Control List
DAL Device and resource Abstraction Layer EHU-OEF EHU OpenFlow Enabled Facility FlowNAC Flow-based Network Access Control
InP Infrastructure Provider (as defined by the 4WARD FP7 project)
L2PNV Layer 2 Prefix-based Network Virtualisation MACP MAC Address Configuration Protocol NAC Network Access Control
NFV Network Functions Virtualization NIC Network Interface Card
NSAL Network Services Abstraction Layer NV Network Virtualisation
PFD Prefix-based Forwarding Decision PFP Physical Facility Provider
PIP Physical Infrastructure Provider (as defined by the GEYSERS FP7 project)
PNAC Port-based Network Access Control PR Physical Resources
SDN Software Defined Networking SDNeV SDN-enabled Virtualization VFP Virtual Facility Provider VFO Virtual Facility Operator
acronyms xli
VI Virtual Instance
VIAP Virtual Instance Access Point VIDAP Virtual Instance Data Access Point
VIO Virtual Infrastructure Operator (as defined by the GEYSERS FP7 project)
VIP Virtual Infrastructure Provider (as defined by the GEYSERS FP7 project)
VITAP Virtual Instance Tenant Access Point VM Virtual Machine
VNF Virtual Network Function
VNO virtual network operator (as defined by the 4WARD FP7 project)
vNode Virtual Node
VNP virtual network provider (as defined by the 4WARD FP7 project)
VPN Virtual Private Network VR Virtual Resources
1
I N T R O D U C T I O N
This thesis presents results of the research on novel network architectures and proposals, and about enabling the research on novel network architectures and proposals. To this aim, Network Virtualisation (NV) is perceived as the key enabler to achieve both objectives. More concretely, the main research topics covered in this thesis are NV, Security, Experimental Facilities, Software Defined Networking (SDN) and Network Functions Virtualization (NFV).
Therefore, one of the main contributions from this thesis is a novel proposal for virtualising the network. To test and validate this proposal the experimental facility use case is selected as the main target scenario to consider, due to the fact that it’s one of the most challenging scenarios for anyNVapproach.
This introduction first provides background of the research work, then presents the motivations and research objectives from this thesis, and finally, outlines the remainder of this document.
1.1
contextualisation
For the recent decades, the Internet has become an universal enabler for continuous innovation in all areas of IT and human activity. It is become the essential medium for information and for communication of both social and business interactions. This remarkable success has generated higher expectations for future services, such as reliability, availability and interoperability, which the Internet may not be capable of addressing properly. Moreover, the number of nodes is expected to increase beyond 100 billion soon [1], resulting in an even more challenging situation.
Currently, increasing numbers of users interact with each other and are acting as real content providers, which has greatly increased the amount of content stored and transported and has
created another challenging issue for the Internet. The resulting increase in demand for capacity can no longer be addressed through overdimensioning. In this context, the Future Internet (FI) [2] initiative has emerged as a research effort aimed at generating the tools to overcome the current limitations of the Internet [3], such as the processing and handling of large amounts of data, deficiencies of storage and transmission and restrictions in the ability to control system functions.
In a nutshell, the FI is a set of research activities, projects and frameworks intended to promote and to develop new architectures and tools that replace the current Internet. Significant efforts have been conducted worldwide to develop the FI. The most relevant funding frameworks and research projects in the FI arena are detailed in a survey [2] and include the Future Internet Architecture1 in the USA (the NSF FIA programme built on a prior programme, Future Internet Design, FIND2), the Future Internet Assembly (FIA) in Europe3and the
AKARI project [4] in Japan.
To solve the current limitations of the Internet, it is necessary to promote innovation and the success of the FI; however, any novel proposal demands robust experimentation and tests of large-scale conditions. In this context, the experimental facilities emerge to provide a realistic environment to validate these new approaches. Both GENI [5] in USA and EU FIRE [6] in Europe are the prime examples of these facilities. There are several other facilities spread around the world, and each of them had a different set of requirements, which makes them optimal for experimentation on the research topics that were considered at design time.
Deploying an experimental facility is challenging from a technical standpoint. At a minimum, the facility has to address the following requirements: (1) the flexibility to support clean slate proposals imposing the smallest number of conditions possible, (2) the capacity to run multiple experiments simultaneously in the same infrastructure, (3) a complete isolation between experiments (including the secured isolation between them) and (4) the ability to virtualise the physical
1 NSF Future Internet Architecture:http://www.nets-fia.net/
2 NSF Future Internet Design:http://www.nets-find.net/
1.1 contextualisation 3
infrastructure as needed to share it properly among researchers. Legacy technology, however, lacks full support for these requirements. For instance, an implementation based on the VLAN Bridging standard (IEEE 802.1Q [7]) imposes several hard restrictions to any novel approach, such as the support of a broadcast domain, the learning of MAC addresses or the Spanning Tree Protocol family (i.e., STP, RSTP and MSTP) to avoid loops. Therefore, a more generic facility without such restrictions is desirable.
Two of the most important requirements in any experimental facility are flexibility and isolation. The concept of SDN [8] provides the flexibility lacking in networking equipment with behaviour that is defined by hardware or a vendor-dependent firmware. The SDN technology is an enabler to achieve the expected flexibility and isolation. This isolation is necessary for any type of experiment so the experiment is not affected by external entities. This way, independence and a minimum variability will be assured. However, the isolation is not an exclusive requirement for experimental facilities, and there are other scenarios that could also benefit from it, such as campus, operator, and data center networks.
SDN has been one of the pillars of innovation in network infrastructures, allowing the decoupling of the control and data planes through an open and standard interface that enables the programmability of the network. OpenFlow [9], ForCES [10], and I2RS [11] are some examples ofSDNtechnology. SDN has also contributed to the virtualisation of the network infrastructure, providing the foundation to isolate, abstract, and share the network resources. Modifying the behaviour of networking equipment allows researchers to conduct all types of experiments involving novel architectures and protocols to overcome current limitations (e.g., mobility and security features) with radical new approaches instead of trying to patch the current Internet with only incremental changes layered on top of the existing architecture. By means of supporting NV, different approaches demanding distinct requirements could be simultaneous deployed in the same infrastructure obtaining the optimal behaviour from the network.
OpenFlow [12] is one of the most successfulSDNtechnologies. Created at Stanford University, this technology is currently
controlled by the Open Networking Foundation (ONF)4, which is composed of hardware vendors, service providers and telecommunication companies. OpenFlow tries to strip the high-level routing decisions (control paths/plane) from the fast packet forwarding (data paths/plane) in a switch or router and thus moves the control path/plane to a separate controller. The protocol defines how the OpenFlow Switch and the OpenFlow Controller communicate by specifying the messages involved. OpenFlow is a technology designed to achieve flow level programmability, which is defined as a set of matching fields, instructions and counters.
To optimise the usage of the network infrastructure, similarly to the optimisation of computing resources, the idea of virtualisation has jumped from the host to the network. Although different definitions have been proposed for NV depending on the target scenario, such as the VNRG5, [13], [14], the basic idea behind this concept is the abstraction of the actual network as a virtual network instance delegated to another single administrative entity. Many different approaches have been proposed with dissimilar requirements, but there are some fundamental properties common to all of them: the sharing of physical resources concurrently between all the virtual networks, the isolation between different virtual network instances, and the abstraction of resources as virtual instances. Depending on the target scenario (e.g., experimental facility, campus, operator or data center networks) some additional characteristics could be included as mandatory. Due to the dissimilar criteria proposed when organising theNVproposals, in some occasions oriented to specific scenarios, it could be hard to differentiate and properly compare all the approaches.
In this context, OpenFlow arises as a promising technology that enables the virtualisation of the network. In this case, virtualising a network involves the gathering of all hardware/software and network functionalities under a single administrative entity that can delegate parts of those resources, known as slices. Network virtualisation can be achieved in OpenFlow by distributing the flows in slices, where the control
4 Open Networking Foundation (ONF):https://www.opennetworking.org
5 Virtual Networks Research Group (VNRG): https://irtf.org/concluded/ vnrg
1.1 contextualisation 5
plane associated to each slice is delegated to a different controller. Thus, exposing the programmability of the virtual network instance to the corresponding administrative entity. Due to this capability, using OpenFlow to build theNVapproach is highly beneficial to several areas. For instance, its adoption in current experimental facilities (e.g., OFELIA [15], GENI [5]) allows several experiments to run at the same time on the same physical infrastructure. In this scenario, OpenFlow enables new protocols to be tested without affecting other experiments or the production traffic. However, the available facilities based on current NVproposals can affect the experimentation depending on the target scenario and the actual proposal under test, and therefore, they present some limitations, including some security concerns. This effect should be minimised to be as transparent as possible to the experiments, as if there were no virtual environment. This also means that the experimental facilities are designed based on a set of requirements, with the main goal to be orthogonal to the research itself.
One of the responsibilities of any experimental facility is to deploy new services and resources to enable the experimentation. In relation to these supporting activities, the ongoing work on NFV6 must be considered as a hot research topic in the area of service delivery. Service provisioning is often based on proprietary hardware appliances, which imposes some restrictions when trying to deploy new network services, such as capacity and availability. In this scenario, the network infrastructure is not flexible enough to accommodate new services or migrate them to other locations due to its dependence on the physical appliances. NFV has been proposed to innovate in the service delivery arena by using standard computing virtualisation technology to consolidate in commodity hardware (i.e., standard high volume servers, storage, and switches) the functions previously performed by specific hardware appliances. Virtual Network Functions (VNFs), which compose the service chain, are the basic elements to achieve the complete virtualisation of service delivery and are commonly based on computing resources.
6 Network Functions Virtualisation (NFV): http://www.etsi.org/ technologies-clusters/technologies/nfv
Major standardisation efforts of the emerging NFVtechnology are being led by the European Telecommunications Standards Institute (ETSI), where the NFV Industry Specification Group (ISG) has recently published 11 NFV specifications, including the NFV architecture [16]. The defined architecture focuses on the aspects unique to virtualisation, such as the transformation of the management and orchestration of VNFs, rather than common challenges to both physical and virtualised NFs, such as the control and operation of the end-to-end network service. Moreover, the NFV ISG is also coordinating and promoting public demonstrations of proofs of concept (PoCs)7that illustrate
key aspects of NFVs, such as scalability, multi-tenancy, and migration issues.
This interest in NFV is twofold. On the one hand, the deployment of services as VNFs on the experimental facility could benefit from the outcomes of NFV related proposals. On the other hand, experimentation of NFV proposals must be supported by the experimental facility. Moreover, SDNand NFV are complementary technologies, and each one can leverage off the other to improve the flexibility and simplicity of networks and service delivery over them. For this aim, new architectures and interfaces between them are needed, and several proposals are emerging (e.g., NFV Proofs of Concept, T-NOVA [17] and UNIFY [18]).
1.2
motivation
The motivation of this thesis comes from the analysis of the aforementioned contextualisation. As previously exposed, the current Internet presents some architectural limitations that requires either drastic changes with new radical approaches or clean slate proposals. One of the keys to success for these novel solutions is the extensive testing in a realistic scenario to both validate the approaches and demonstrate their benefits for real deployments. Although, at least in Europe, the FI initiative has evolved into different specific research areas (e.g., IoT, 5G, and Big Data) and the idea of one-for-all experimental facilities
7 ETSI ISG for NFV, NFV Proofs of Concept: http://www.etsi.org/ technologies-clusters/technologies/nfv/nfv-poc
1.2 motivation 7
seems to be quite utopic, the reality is that some kind of environment for large-scale experimentation would be needed. The experimental facility is the response to this demand.
Currently, several experimental facilities have been deployed worldwide (e.g., in USA and in Europe). They have been designed based on a different set of requirements depending on the target scenario and the focus of experimentation to be supported. However, these facilities present some limitations for networking research due to the NV solution adopted. Most of them rely on VLAN tags to isolate the virtual network instances, which, for instance, prevents to research on campus and operator networks (concretely VLAN tags are extensively used on access networks), since this tag is not further exposed transparently to the experiment. Moreover, the actual list of requirements established as preliminary conditions is not fulfiled by any of those experimental facilities. Due to the target scenarios to be investigated and the research topics to be covered, the imposed requirements are: the isolation between experiments (including the secured isolation between them), the flexibility to experiment on novel architectures and clean slate approaches, the scalability of the facility, the stability of the experiment slice definition, the transparency of the facility with regard to the experiments (including the efficiency, avoiding any overhead), and the support for research on networking. Following with the example of VLAN tags used above: first, the flexibility is restricted since the VLAN space cannot be exposed to the experiment (at least, transparently); second, the scalability is limited for large-scale experimentation (12 bit, up to 4096 slices); and third, the transparency is compromised both at data plane and control plane (a tag is added).
As previously mentioned, the NV approach used is closely related to the ability of the experimental facility to research on networking. Therefore, one of the most fundamental aspects to consider when designing the experimental facility to really support novel architectures and networking proposals, is the NV solution. There are lots of NV proposals and due to the different aspects and scenarios that they cover, it is difficult to properly understand and compare all these proposals. Therefore, a means to categorize and organise the current state of the art is desired. Based on this study, a novel NVapproach to deal with
all the requirements imposed to the experimental facility is also needed.
As a research topic on clean slate approaches, the investigation on novel MAC addressing schemes (such as [19]) has been considered. As a consequence, on the one hand, theNVsolution must support the experimentation on new addressing schemes. On the other hand, a mechanism to facilitate the deployment of these novel schemes is desired. As a result of this research line, new proposals are expected to demonstrate goodness of this approach.
Considering the currently deployed experimental facilities, there are some security concerns that must be overcome. Concretely, although the isolation within the network is provided by the NV approach, the data plane access from end devices to the slice is not properly secured. In those facilities, is quite simple to introduce data traffic to other slices, since the end user is the only responsible to properly configure the access to the slice, and no further check is performed. Therefore, a mechanism to enhance the overall security of the experimental facility is needed (mainly related to the data plane, since some support is available at control plane). The main challenge is how this access control could be supported and integrated with the NVsolution proposed for the facility.
Also related to this latter idea of how to integrate and deploy new functionalities and services as VNFs on the experimental facility, some kind of guidance is desired. Additionally, it could be beneficial to learn from the NFV related proposals already demonstrated to improve the design of the facility. Moreover, the design of new services as VNFs can benefit from leveraging on SDN technology to improve their adoption by NFV based platforms.
1.3
research objectives
The principal objective of this thesis is twofold: the research on novel network architectures and solutions, and enabling experimental validation of the proposed solutions. This means that both the results of the research on networking topics and an experimental facility on which they could be tested in a
1.3 research objectives 9
realistic environment are expected outcomes from this thesis. Although it seems that the chronological order is the just the opposite (first the experimental facility, and then the networking research), the truth is that building the experimental facility is really a huge challenge from the networking perspective. As a consequence, the research on novel networking proposals (e.g., aNVapproach) has been the key of success to actually assemble the experimental facility, and vice versa, building the facility to meet the imposed requirements has driven the research activity. Based on the previous analysis, there are several aspects to improve and some limitations to overcome. Therefore, some concrete research objectives and research questions (RQ) of the presented research are defined as follows:
• Build a campus-wide experimental facility that covers all the requirements imposed to enable the research on novel networking architectures and proposals. The facility must support the secured isolation between experiments, be flexible, be scalable, be stable at slice definition, be transparent to the focus of the experiment, and basically, support the research on networking approaches by exposing the programmability of the network to the researchers. It must also support both experimental and production traffic over the same physical infrastructure. Some fundamental pieces (i.e., a NV approach, a secured access control system and an automatic mechanism for end host configuration) are needed and detailed as additional concrete objectives.
• Define a NV taxonomy to facilitate the comprehension and comparison of the current state of the art of NV approaches and its evolution. The taxonomy must document the common characteristics and attributes from these proposals and clarify them to guide through the process of understanding the past, current and future solutions to virtualise the network.
• Design and implement a novelNVapproach that fulfils all the imposed requirements. The solution must be efficient, both by reducing the overhead at data plane (not tunneled)
and by being transparent on the end to end communication (e.g., avoiding push/pop actions).
RQ1: How to design efficient a (SDN based) NV method and architecture to reduce the overhead at data plane and be transparent on the end to end communication (optionally) for dynamically changed user groups and workflows?
• Design and implement a mechanism to facilitate the deployment of novel MAC addressing schemes both for physical and virtual devices. Due to the fact that the innovation on MAC addressing schemes is perceived as a research topic, the distribution/update of MAC addresses to the end hosts is not solved.
RQ2: What are specific needs of new MAC address scheme to be efficiently deployed over a network?
• Design and implement a secured mechanism to control the access to the experimental facility based on the identity of the users and the policies defined by the researchers. This scheme could be extrapolated to a generic NV approach, whose aim is not focused on enabling the experimentation. The control access is focused on the data plane and must be granular enough (i.e., fine or coarse granularity) to meet the policy defined by the researchers.
RQ3: How the access to a virtual network could be secured based on the identity of end users and policies defined by the corresponding tenant?
• Define basic architectural principles for an optimal design of new services and protocols as VNFs based on SDN technology to better fit into a facility based on NFV concepts. Apart from facilitating the adoption of new services and its deployment on the experimental facility, other scenarios, such as operator or data center networks, could benefit from these VNF design principles to improve and optimise the service delivery in production environments.
RQ4: Which are the design principles that improves the performance of VNFs (based on SDN technology) while minimizing their deployment effort?
1.4 document organisation 11
The specifics and challenges in research on new networking technologies and the construction of the experimental facility requires that the above described objectives are addressed in a complex and integrated way. Accordingly, the experimental facility relies on the novel NV approach, the mechanism for deploying alternative MAC addressing schemes, and the secured access control proposal. Moreover, the innovative proposals based on new MAC address schemes and the architectural principles for optimal design of services will be tested on the experimental facility.
Finally, an additional objective, which is transversal to all the previous ones, is the experimental validation and performance evaluation of these proposals under realistic circumstances (i.e., tested in the experimental facility).
1.4
document organisation
The remainder of this document is organised as follows. Chapter 2 presents the state of the art related to NV and experimental facilities. It also proposes a novel NV taxonomy to organise the NV survey analyzed. Then, Chapter 3 details three novel proposals as individual research contributions of the presented research: Layer 2 Prefix-based Network Virtualisation (L2PNV), MAC Address Configuration Protocol (MACP) and Flow-based Network Access Control (FlowNAC). Afterward, Chapter4
experimentally validates these proposals and presents the EHU OpenFlow Enabled Facility (EHU-OEF), which is one of the main contributions from this thesis. This chapter also analytically demonstrates the benefits from the L2PNV proposal. Finally, Chapter5 summarises the content of this document and details the main contributions obtained as outcomes from this thesis, as well as the dissemination of results related to this research work. To conclude the future work as the next steps for this thesis are outlined.
